Шейпер на htb скрипте. Фильтрация по MAC

@Antenna · Регистрация: 30.10.2011

Студворк — интернет-сервис помощи студентам

Все примеры на основе этого скрипта показывают как вести политику ограничения трафика по IP адресам компьютеров.
Вопрос: Можно ли сделать тоже самое только через MAC адреса ситевых карт?
Если не возможно, то есть ли адекватные замены этому скрипту. Мне нужен только шейпер и NAT.

@Imate · 17.04.2012, 19:07

iptables вам поможет

как вариант маркировать пакеты и по метке в шейпере раскидывать по классам

@Antenna · 17.04.2012, 20:09 **[ТС]**

Можно ли по-подробнее? Вообще говоря, мне нужно обеспечить доступ к интернету только определенным сетевым картам в локальной сети.

@Imate · 18.04.2012, 07:41

адреса вы раздаете?
если да, то делайте проще. шейпер оставьте по ip. а iptables разрешайте доступ только для конкретных маков.
http://www.opennet.ru/docs/RUS/LARTC/x2755.html то о чем я говорил до этого.

@Antenna · 18.04.2012, 13:37 **[ТС]**

Адреса раздаю не я, а другой сервер. На машинах клиентов через консоль (Windows 7) заменяется основной шлюз того сервера на мой. Именно по этому мне и нужна превязка к MAC.
Спасибо за ссылочку))) Поучительная статья!

@Imate · 18.04.2012, 14:35

тогда для вас будет самым правильным решением шейпер оставить по айпи (быстрее будет, в инете слухи есть, что iptables очень грузит систему когда пакеты метит). фильтрацию сделать по маку средствами iptables, а адреса раздавать ТОЛЬКО своим опять по маку. dhcpd умеет раздавать адреса только тем, кто прописан, остальных пошлет лесом, как результат никаких стычек между двумя dhcp серверами. это на мой взгляд самый грамотный подход, потом легко будет добавлять юзеров (даже веб морду с базой данных прикрутить можно)

@odip · 18.04.2012, 14:49

На машинах клиентов через консоль (Windows 7) заменяется основной шлюз того сервера на мой. Именно по этому мне и нужна превязка к MAC

А если создать статическую ARP-таблицу ip1<->mac1 ?
Тогда левые MAC пойдут лесом
А фильтровать по IP-адресам

Добавлено через 1 минуту
Нет большого смысла фильтровать по MAC
Злоумышленники быстро научатся подменять MAC-адреса
и ничего эта защита не даст

@Imate · 18.04.2012, 14:50

тоже кстати вариант

я как-то о решении в таком направлении даже не думал

@Antenna · 18.04.2012, 14:57 **[ТС]**

Насчет стычек между DHCP серверами хочу спросить... У меня нет доступа к тому DHCPшнику и может ли получится так, что машины клиентов будут быстрее принимать настройки от него, чем от меня?
У меня канал интернета 20-30 Mbit/s, пень 4 2,8 ГГ, 768 оперативы и пользователей около десятка, в то время как в локальной сети около 50 компов.

@Imate · 18.04.2012, 15:05

вообще-то могут, тогда тут загвоздка возникает.
либо за пиво просить у админа того сервера себе диапазон адресов и настроить dhcp relay, либо вручную прописывать адреса

@Antenna · 18.04.2012, 18:13 **[ТС]**

Пивом там не обойтись... Может кто знает альтернативу HTB??? Вобщем-то, HTB мне безразличен. Мне нужен шейпер с авторизацией по MAC адресу сетевухи, так как связка Windows XP и Traffic Inspector уже при 8-10 мегабитах грузит процессор под 100%.

Добавлено через 18 минут
Тот сервер хранит кеш маков и IP редко меняются после переподключений. Может быть можно по известным MAC искать IP нужных мне машин и делать свой кеш и регулярно проверять его содержимое на правильность. Потом брать из кеша IP и использовать их для своих нужд? Подсеть 10.83.0.0 маска 255.255.252.0

@Imate · 18.04.2012, 19:42

htb вполне себе вариант

iptables же умеет фильтровать только по маку. те на ip ему может быть пофиг.
скрипт который ищет нужные вам адреса? а почему бы и нет, скрипт достаточно простой будет, засунуть его в крон и пускай проверяет и iptables дергает. а по поводу шейпера рекомендую поискать на форуме abills скрипты тов. NiTrO. он написал скрипты которые для сети генерируют правила tc с хеш-таблицами. на всю сеть шейпер делаете, и дергаете только iptables

@Antenna · 19.04.2012, 22:45 **[ТС]**

Тяжело понимать скрипты на системе, которую впервые видишь. Попробую разобраться.

Новые блоги и статьи Все статьи Все блоги /
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ
Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .	Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .

@Antenna 0 / 0 / 0 Регистрация: 30.10.2011 Сообщений: 43

	Шейпер на htb скрипте. Фильтрация по MAC 17.04.2012, 16:10. Показов 3055. Ответов 12 Метки нет (Все метки) Все примеры на основе этого скрипта показывают как вести политику ограничения трафика по IP адресам компьютеров. Вопрос: Можно ли сделать тоже самое только через MAC адреса ситевых карт? Если не возможно, то есть ли адекватные замены этому скрипту. Мне нужен только шейпер и NAT. 0

@Imate 121 / 77 / 1 Регистрация: 08.06.2011 Сообщений: 267
	17.04.2012, 19:07
	iptables вам поможет как вариант маркировать пакеты и по метке в шейпере раскидывать по классам 0

@Antenna 0 / 0 / 0 Регистрация: 30.10.2011 Сообщений: 43
	17.04.2012, 20:09 [ТС]
	Можно ли по-подробнее? Вообще говоря, мне нужно обеспечить доступ к интернету только определенным сетевым картам в локальной сети. 0

@Imate 121 / 77 / 1 Регистрация: 08.06.2011 Сообщений: 267
	18.04.2012, 07:41
	адреса вы раздаете? если да, то делайте проще. шейпер оставьте по ip. а iptables разрешайте доступ только для конкретных маков. http://www.opennet.ru/docs/RUS/LARTC/x2755.html то о чем я говорил до этого. 0

@Antenna 0 / 0 / 0 Регистрация: 30.10.2011 Сообщений: 43
	18.04.2012, 13:37 [ТС]
	Адреса раздаю не я, а другой сервер. На машинах клиентов через консоль (Windows 7) заменяется основной шлюз того сервера на мой. Именно по этому мне и нужна превязка к MAC. Спасибо за ссылочку))) Поучительная статья! 0

@Imate 121 / 77 / 1 Регистрация: 08.06.2011 Сообщений: 267
	18.04.2012, 14:35
	тогда для вас будет самым правильным решением шейпер оставить по айпи (быстрее будет, в инете слухи есть, что iptables очень грузит систему когда пакеты метит). фильтрацию сделать по маку средствами iptables, а адреса раздавать ТОЛЬКО своим опять по маку. dhcpd умеет раздавать адреса только тем, кто прописан, остальных пошлет лесом, как результат никаких стычек между двумя dhcp серверами. это на мой взгляд самый грамотный подход, потом легко будет добавлять юзеров (даже веб морду с базой данных прикрутить можно) 0

@Imate 121 / 77 / 1 Регистрация: 08.06.2011 Сообщений: 267
	18.04.2012, 14:50
	тоже кстати вариант я как-то о решении в таком направлении даже не думал 0

@Antenna 0 / 0 / 0 Регистрация: 30.10.2011 Сообщений: 43
	18.04.2012, 14:57 [ТС]
	Насчет стычек между DHCP серверами хочу спросить... У меня нет доступа к тому DHCPшнику и может ли получится так, что машины клиентов будут быстрее принимать настройки от него, чем от меня? У меня канал интернета 20-30 Mbit/s, пень 4 2,8 ГГ, 768 оперативы и пользователей около десятка, в то время как в локальной сети около 50 компов. 0

@Imate 121 / 77 / 1 Регистрация: 08.06.2011 Сообщений: 267
	18.04.2012, 15:05
	вообще-то могут, тогда тут загвоздка возникает. либо за пиво просить у админа того сервера себе диапазон адресов и настроить dhcp relay, либо вручную прописывать адреса 0

@Antenna 0 / 0 / 0 Регистрация: 30.10.2011 Сообщений: 43
	18.04.2012, 18:13 [ТС]
	Пивом там не обойтись... Может кто знает альтернативу HTB??? Вобщем-то, HTB мне безразличен. Мне нужен шейпер с авторизацией по MAC адресу сетевухи, так как связка Windows XP и Traffic Inspector уже при 8-10 мегабитах грузит процессор под 100%. Добавлено через 18 минут Тот сервер хранит кеш маков и IP редко меняются после переподключений. Может быть можно по известным MAC искать IP нужных мне машин и делать свой кеш и регулярно проверять его содержимое на правильность. Потом брать из кеша IP и использовать их для своих нужд? Подсеть 10.83.0.0 маска 255.255.252.0 0

@Imate 121 / 77 / 1 Регистрация: 08.06.2011 Сообщений: 267
	18.04.2012, 19:42
	htb вполне себе вариант iptables же умеет фильтровать только по маку. те на ip ему может быть пофиг. скрипт который ищет нужные вам адреса? а почему бы и нет, скрипт достаточно простой будет, засунуть его в крон и пускай проверяет и iptables дергает. а по поводу шейпера рекомендую поискать на форуме abills скрипты тов. NiTrO. он написал скрипты которые для сети генерируют правила tc с хеш-таблицами. на всю сеть шейпер делаете, и дергаете только iptables 0

@Antenna 0 / 0 / 0 Регистрация: 30.10.2011 Сообщений: 43
	19.04.2012, 22:45 [ТС]
	Тяжело понимать скрипты на системе, которую впервые видишь. Попробую разобраться. 0